Базовая настройка MikroTik
1. Переименование физических интерфейсов
/interface ethernet
set [find default-name=ether1] name=wan
set [find default-name=ether2] name=lan
set [find default-name=ether3] name=camera1
set [find default-name=ether4] name=camera2
2. Создание Bridge и добавление в него только WAN-порт
Здесь мы оставим
bridgeтолько для управления трафиком через WAN при необходимости (в ряде конфигураций он не нужен вовсе, но пусть будет).
/interface bridge
add name=bridge-wan
/interface bridge port
add bridge=bridge-wan interface=wan
3. Создание VLAN-интерфейсов
/interface vlan
add name=vlan-lan vlan-id=10 interface=lan
add name=vlan-camera vlan-id=20 interface=camera1
add name=vlan-camera vlan-id=20 interface=camera2
4. Назначение IP-адресов на VLAN-интерфейсы
/ip address
add address=172.20.10.1/24 interface=vlan-lan comment="LAN subnet"
add address=172.20.20.1/24 interface=vlan-camera comment="Camera subnet"
5. DHCP-серверы
/ip pool
add name=pool-lan ranges=172.20.10.100-172.20.10.200
add name=pool-camera ranges=172.20.20.100-172.20.20.200
/ip dhcp-server
add name=dhcp-lan interface=vlan-lan address-pool=pool-lan
add name=dhcp-camera interface=vlan-camera address-pool=pool-camera
/ip dhcp-server network
add address=172.20.10.0/24 gateway=172.20.10.1 dns-server=1.1.1.1
add address=172.20.20.0/24 gateway=172.20.20.1 dns-server=1.1.1.1
/ip dhcp-server enable dhcp-lan
/ip dhcp-server enable dhcp-camera
6. Получение IP-адреса от провайдера (WAN)
/ip dhcp-client
add interface=wan use-peer-dns=yes use-peer-ntp=yes add-default-route=yes
7. Настройка NAT
/ip firewall nat
add chain=srcnat out-interface=wan action=masquerade
8. Базовая настройка файрволла
8.1. Разрешаем установленные соединения
/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=forward connection-state=established,related action=accept
8.2. Разрешаем SSH на порт 6022
/ip service
set ssh port=6022 disabled=no
/ip firewall filter
add chain=input protocol=tcp dst-port=6022 action=accept comment="SSH management port"
8.3. Запрещаем Winbox снаружи
/ip service
set winbox address=172.20.0.0/16
8.4. Блокируем камерам доступ в интернет
/ip firewall filter
add chain=forward src-address=172.20.20.0/24 out-interface=wan action=drop comment="Block cameras from accessing internet"
8.5. Запрет остального входящего трафика с WAN
/ip firewall filter
add chain=input in-interface=wan action=drop comment="Drop other WAN input"
9. Безопасность и лучшие практики
- Используй сложные пароли.
- Храни резервные копии:
/export file=backup_config - Включи
/ip ssh set strong-crypto=yes - Периодически выполняй обновление прошивки:
/system package update - Для изоляции камер лучше настраивать и VLAN-фильтрацию на коммутаторах.
- Запрети MAC Winbox через
/tool mac-serverи/tool mac-winboxпри необходимости.
Вот готовый конфигурационный файл MikroTik RouterOS (.rsc) для hEX S (RB760iGS) —
новой модели с 5 Ethernet-портами и аппаратным ускорением NAT. Конфигурация включает:
- кастомные имена интерфейсов (
wan,lan,camera1,camera2); - VLAN 10 (LAN) на
ether2, VLAN 20 (Cameras) наether3иether4; - маршрутизацию, DHCP, NAT;
- SSH на порту 6022;
- отключение Winbox извне;
- запрет камерам в интернет.
hexs-initial-config.rsc
# Очистка конфигурации
/system reset-configuration no-defaults=yes skip-backup=yes
# Интерфейсы
/interface ethernet
set [find default-name=ether1] name=wan
set [find default-name=ether2] name=lan
set [find default-name=ether3] name=camera1
set [find default-name=ether4] name=camera2
set [find default-name=ether5] name=spare
# VLAN-интерфейсы
/interface vlan
add name=vlan-lan vlan-id=10 interface=lan comment="LAN VLAN"
add name=vlan-camera1 vlan-id=20 interface=camera1 comment="Camera VLAN"
add name=vlan-camera2 vlan-id=20 interface=camera2 comment="Camera VLAN"
# IP-адресация
/ip address
add address=172.20.10.1/24 interface=vlan-lan comment="LAN gateway"
add address=172.20.20.1/24 interface=vlan-camera1 comment="Camera gateway"
# DHCP-клиент для WAN
/ip dhcp-client
add interface=wan use-peer-dns=yes use-peer-ntp=yes add-default-route=yes
# DHCP-серверы
/ip pool
add name=pool-lan ranges=172.20.10.100-172.20.10.200
add name=pool-camera ranges=172.20.20.100-172.20.20.200
/ip dhcp-server
add name=dhcp-lan interface=vlan-lan address-pool=pool-lan
add name=dhcp-camera interface=vlan-camera1 address-pool=pool-camera
/ip dhcp-server network
add address=172.20.10.0/24 gateway=172.20.10.1 dns-server=1.1.1.1
add address=172.20.20.0/24 gateway=172.20.20.1 dns-server=1.1.1.1
/ip dhcp-server enable dhcp-lan
/ip dhcp-server enable dhcp-camera
# NAT
/ip firewall nat
add chain=srcnat out-interface=wan action=masquerade comment="NAT for internet access"
# Firewall
/ip firewall filter
add chain=input connection-state=established,related action=accept comment="Allow established"
add chain=forward connection-state=established,related action=accept comment="Allow established forward"
add chain=input protocol=tcp dst-port=6022 action=accept comment="Allow SSH 6022"
add chain=forward src-address=172.20.20.0/24 out-interface=wan action=drop comment="Block cameras from WAN"
add chain=input in-interface=wan action=drop comment="Drop all WAN input"
/ip service
set ssh port=6022
set winbox address=172.20.0.0/16
# Безопасность
/ip ssh set strong-crypto=yes forwarding-enabled=remote
# Системные настройки
/system identity set name=hex-s
/system clock set time-zone-name=Asia/Tashkent
Импорт в MikroTik
- Скопируй файл в роутер (через Winbox,
scp,ftpи т.д.). - Подключись к CLI и выполни:
/import file-name=hexs-initial-config.rsc